സിംബ്ര സഹകരണ സ്യൂട്ട് ഓപ്പൺ സോഴ്സ് എഡിഷനിൽ SSL കണക്ഷൻ സുരക്ഷാ ക്രമീകരണങ്ങൾ മെച്ചപ്പെടുത്തുന്നു

ബിസിനസ്സിനായി വിവര സംവിധാനങ്ങൾ ഉപയോഗിക്കുമ്പോൾ എൻക്രിപ്ഷന്റെ ശക്തി ഏറ്റവും പ്രധാനപ്പെട്ട സൂചകങ്ങളിലൊന്നാണ്, കാരണം എല്ലാ ദിവസവും അവർ ഒരു വലിയ അളവിലുള്ള രഹസ്യ വിവരങ്ങളുടെ കൈമാറ്റത്തിൽ ഏർപ്പെടുന്നു. ഒരു SSL കണക്ഷന്റെ ഗുണനിലവാരം വിലയിരുത്തുന്നതിനുള്ള പൊതുവായി അംഗീകരിക്കപ്പെട്ട മാർഗ്ഗം Qualys SSL ലാബിൽ നിന്നുള്ള ഒരു സ്വതന്ത്ര പരിശോധനയാണ്. ഈ ടെസ്റ്റ് ആർക്കും പ്രവർത്തിപ്പിക്കാവുന്നതിനാൽ, ഈ ടെസ്റ്റിൽ സാധ്യമായ ഏറ്റവും ഉയർന്ന സ്കോർ നേടുന്നത് SaaS ദാതാക്കൾക്ക് വളരെ പ്രധാനമാണ്. SaaS ദാതാക്കൾ മാത്രമല്ല, സാധാരണ സംരംഭങ്ങളും SSL കണക്ഷന്റെ ഗുണനിലവാരത്തെക്കുറിച്ച് ശ്രദ്ധിക്കുന്നു. അവരെ സംബന്ധിച്ചിടത്തോളം, സാധ്യതയുള്ള കേടുപാടുകൾ തിരിച്ചറിയാനും സൈബർ കുറ്റവാളികൾക്കുള്ള എല്ലാ പഴുതുകളും മുൻകൂട്ടി അടയ്ക്കാനുമുള്ള മികച്ച അവസരമാണ് ഈ പരിശോധന.

സിംബ്ര OSE രണ്ട് തരത്തിലുള്ള SSL സർട്ടിഫിക്കറ്റുകൾ അനുവദിക്കുന്നു. ഇൻസ്റ്റാളേഷൻ സമയത്ത് സ്വയമേവ ചേർക്കുന്ന സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റാണ് ആദ്യത്തേത്. ഈ സർട്ടിഫിക്കറ്റ് സൗജന്യമാണ് കൂടാതെ സമയപരിധിയില്ല, ഇത് Zimbra OSE പരിശോധിക്കുന്നതിനോ ഒരു ആന്തരിക നെറ്റ്‌വർക്കിൽ മാത്രമായി ഉപയോഗിക്കുന്നതിനോ അനുയോജ്യമാക്കുന്നു. എന്നിരുന്നാലും, വെബ് ക്ലയന്റിലേക്ക് ലോഗിൻ ചെയ്യുമ്പോൾ, ഈ സർട്ടിഫിക്കറ്റ് അവിശ്വസനീയമാണെന്ന് ബ്രൗസറിൽ നിന്നുള്ള മുന്നറിയിപ്പ് ഉപയോക്താക്കൾ കാണും, കൂടാതെ Qualys SSL ലാബിൽ നിന്നുള്ള പരിശോധനയിൽ നിങ്ങളുടെ സെർവർ തീർച്ചയായും പരാജയപ്പെടും.

രണ്ടാമത്തേത് ഒരു സർട്ടിഫിക്കേഷൻ അതോറിറ്റി ഒപ്പിട്ട വാണിജ്യ SSL സർട്ടിഫിക്കറ്റാണ്. അത്തരം സർട്ടിഫിക്കറ്റുകൾ ബ്രൗസറുകൾ എളുപ്പത്തിൽ സ്വീകരിക്കുകയും സാധാരണയായി സിംബ്ര ഒഎസ്ഇയുടെ വാണിജ്യ ഉപയോഗത്തിനായി ഉപയോഗിക്കുകയും ചെയ്യുന്നു. വാണിജ്യ സർട്ടിഫിക്കറ്റിന്റെ ശരിയായ ഇൻസ്റ്റാളേഷനുശേഷം, സിംബ്ര OSE 8.8.15, Qualys SSL ലാബിൽ നിന്നുള്ള ടെസ്റ്റിൽ A സ്കോർ കാണിക്കുന്നു. ഇതൊരു മികച്ച ഫലമാണ്, എന്നാൽ ഞങ്ങളുടെ ലക്ഷ്യം A+ ഫലം കൈവരിക്കുക എന്നതാണ്.

Zimbra Collaboration Suite Open-Source Edition ഉപയോഗിക്കുമ്പോൾ Qualys SSL ലാബിൽ നിന്നുള്ള ടെസ്റ്റിൽ പരമാവധി സ്കോർ നേടുന്നതിന്, നിങ്ങൾ നിരവധി ഘട്ടങ്ങൾ പൂർത്തിയാക്കണം:

1. ഡിഫി-ഹെൽമാൻ പ്രോട്ടോക്കോളിന്റെ പാരാമീറ്ററുകൾ വർദ്ധിപ്പിക്കുന്നു

ഡിഫോൾട്ടായി, OpenSSL ഉപയോഗിക്കുന്ന എല്ലാ Zimbra OSE 8.8.15 ഘടകങ്ങളും Diffie-Hellman പ്രോട്ടോക്കോൾ ക്രമീകരണങ്ങൾ 2048 ബിറ്റുകളായി സജ്ജീകരിച്ചിരിക്കുന്നു. തത്വത്തിൽ, Qualys SSL ലാബിൽ നിന്നുള്ള ടെസ്റ്റിൽ A+ സ്കോർ നേടുന്നതിന് ഇത് മതിയാകും. എന്നിരുന്നാലും, നിങ്ങൾ പഴയ പതിപ്പുകളിൽ നിന്ന് അപ്ഗ്രേഡ് ചെയ്യുകയാണെങ്കിൽ, ക്രമീകരണങ്ങൾ കുറവായിരിക്കാം. അതിനാൽ, അപ്‌ഡേറ്റ് പൂർത്തിയായ ശേഷം, zmdhparam set -new 2048 എന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കാൻ ശുപാർശ ചെയ്യുന്നു, ഇത് Diffie-Hellman പ്രോട്ടോക്കോളിന്റെ പാരാമീറ്ററുകൾ സ്വീകാര്യമായ 2048 ബിറ്റുകളായി വർദ്ധിപ്പിക്കും, ആവശ്യമെങ്കിൽ, അതേ കമാൻഡ് ഉപയോഗിച്ച്, നിങ്ങൾക്ക് വർദ്ധിപ്പിക്കാൻ കഴിയും. പരാമീറ്ററുകളുടെ മൂല്യം 3072 അല്ലെങ്കിൽ 4096 ബിറ്റുകളിലേക്ക്, ഇത് ഒരു വശത്ത് ജനറേഷൻ സമയം വർദ്ധിപ്പിക്കുന്നതിലേക്ക് നയിക്കും, എന്നാൽ മറുവശത്ത് മെയിൽ സെർവറിന്റെ സുരക്ഷാ തലത്തിൽ നല്ല സ്വാധീനം ചെലുത്തും.

2. ഉപയോഗിച്ച സൈഫറുകളുടെ ശുപാർശിത ലിസ്റ്റ് ഉൾപ്പെടെ

സ്ഥിരസ്ഥിതിയായി, Zimbra Collaborataion Suite ഓപ്പൺ സോഴ്സ് പതിപ്പ്, ഒരു സുരക്ഷിത കണക്ഷനിലൂടെ കടന്നുപോകുന്ന ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുന്ന ശക്തമായതും ദുർബലവുമായ സൈഫറുകളുടെ വിശാലമായ ശ്രേണിയെ പിന്തുണയ്ക്കുന്നു. എന്നിരുന്നാലും, ഒരു SSL കണക്ഷന്റെ സുരക്ഷ പരിശോധിക്കുമ്പോൾ ദുർബലമായ സൈഫറുകളുടെ ഉപയോഗം ഒരു ഗുരുതരമായ പോരായ്മയാണ്. ഇത് ഒഴിവാക്കാൻ, നിങ്ങൾ ഉപയോഗിക്കുന്ന സൈഫറുകളുടെ ലിസ്റ്റ് കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട്.

ഇത് ചെയ്യുന്നതിന്, കമാൻഡ് ഉപയോഗിക്കുക zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

ഈ കമാൻഡിൽ ഉടനടി ശുപാർശ ചെയ്യുന്ന ഒരു കൂട്ടം സൈഫറുകൾ ഉൾപ്പെടുന്നു, അതിന് നന്ദി, കമാൻഡിന് ഉടനടി വിശ്വസനീയമായ സൈഫറുകൾ പട്ടികയിൽ ഉൾപ്പെടുത്താനും വിശ്വസനീയമല്ലാത്തവ ഒഴിവാക്കാനും കഴിയും. ഇപ്പോൾ അവശേഷിക്കുന്നത് zmproxyctl പുനരാരംഭിക്കൽ കമാൻഡ് ഉപയോഗിച്ച് റിവേഴ്സ് പ്രോക്സി നോഡുകൾ പുനരാരംഭിക്കുക എന്നതാണ്. ഒരു റീബൂട്ടിന് ശേഷം, വരുത്തിയ മാറ്റങ്ങൾ പ്രാബല്യത്തിൽ വരും.

ഒരു കാരണത്താലോ മറ്റെന്തെങ്കിലുമോ ഈ ലിസ്റ്റ് നിങ്ങൾക്ക് അനുയോജ്യമല്ലെങ്കിൽ, കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് അതിൽ നിന്ന് നിരവധി ദുർബലമായ സൈഫറുകൾ നീക്കംചെയ്യാം. zmprov mcf +zimbraSSLExcludeCipherSuites. അതിനാൽ, ഉദാഹരണത്തിന്, കമാൻഡ് zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, ഇത് RC4 സൈഫറുകളുടെ ഉപയോഗം പൂർണ്ണമായും ഇല്ലാതാക്കും. AES, 3DES സൈഫറുകൾ ഉപയോഗിച്ചും ഇതുതന്നെ ചെയ്യാം.

3. HSTS പ്രവർത്തനക്ഷമമാക്കുക

ക്വാളിസ് എസ്എസ്എൽ ലാബ്സ് ടെസ്റ്റിൽ മികച്ച സ്കോർ നേടുന്നതിന് കണക്ഷൻ എൻക്രിപ്ഷനും TLS സെഷൻ വീണ്ടെടുക്കലും നിർബന്ധിതമാക്കുന്നതിനുള്ള പ്രവർത്തനക്ഷമമാക്കിയ മെക്കാനിസങ്ങളും ആവശ്യമാണ്. അവ പ്രവർത്തനക്ഷമമാക്കാൻ നിങ്ങൾ കമാൻഡ് നൽകണം zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". ഈ കമാൻഡ് കോൺഫിഗറേഷനിലേക്ക് ആവശ്യമായ തലക്കെട്ട് ചേർക്കും, പുതിയ ക്രമീകരണങ്ങൾ പ്രാബല്യത്തിൽ വരുന്നതിന് നിങ്ങൾ കമാൻഡ് ഉപയോഗിച്ച് Zimbra OSE പുനരാരംഭിക്കേണ്ടതുണ്ട് zmcontrol പുനരാരംഭിക്കുക.

ഈ ഘട്ടത്തിൽ, Qualys SSL ലാബുകളിൽ നിന്നുള്ള പരിശോധന ഒരു A+ റേറ്റിംഗ് കാണിക്കും, എന്നാൽ നിങ്ങളുടെ സെർവറിന്റെ സുരക്ഷ കൂടുതൽ മെച്ചപ്പെടുത്താൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് സ്വീകരിക്കാവുന്ന മറ്റ് നിരവധി നടപടികളുണ്ട്.

ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് ഇന്റർ-പ്രോസസ് കണക്ഷനുകളുടെ നിർബന്ധിത എൻക്രിപ്ഷൻ പ്രവർത്തനക്ഷമമാക്കാൻ കഴിയും, കൂടാതെ സിംബ്ര OSE സേവനങ്ങളിലേക്ക് കണക്റ്റുചെയ്യുമ്പോൾ നിങ്ങൾക്ക് നിർബന്ധിത എൻക്രിപ്ഷൻ പ്രവർത്തനക്ഷമമാക്കാനും കഴിയും. ഇന്റർപ്രോസസ് കണക്ഷനുകൾ പരിശോധിക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡുകൾ നൽകുക:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

നിർബന്ധിത എൻക്രിപ്ഷൻ പ്രവർത്തനക്ഷമമാക്കാൻ നിങ്ങൾ നൽകേണ്ടതുണ്ട്:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

ഈ കമാൻഡുകൾക്ക് നന്ദി, പ്രോക്സി സെർവറുകളിലേക്കും മെയിൽ സെർവറുകളിലേക്കുമുള്ള എല്ലാ കണക്ഷനുകളും എൻക്രിപ്റ്റ് ചെയ്യപ്പെടും, കൂടാതെ ഈ കണക്ഷനുകളെല്ലാം പ്രോക്സി ചെയ്യപ്പെടും.

അതിനാൽ, ഞങ്ങളുടെ ശുപാർശകൾ പിന്തുടർന്ന്, നിങ്ങൾക്ക് SSL കണക്ഷൻ സുരക്ഷാ പരിശോധനയിൽ ഏറ്റവും ഉയർന്ന സ്കോർ നേടാൻ മാത്രമല്ല, മുഴുവൻ സിംബ്ര OSE ഇൻഫ്രാസ്ട്രക്ചറിന്റെയും സുരക്ഷ ഗണ്യമായി വർദ്ധിപ്പിക്കാനും കഴിയും.

Zextras Suite-മായി ബന്ധപ്പെട്ട എല്ലാ ചോദ്യങ്ങൾക്കും, നിങ്ങൾക്ക് ഇമെയിൽ വഴി Zextras പ്രതിനിധി Ekaterina Triandafilidi-യുമായി ബന്ധപ്പെടാം [ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]

അവലംബം: www.habr.com